The Good Manager  >  Modulo di formazione

100 punti da sapere su...
project management inclusivo

100
punti da sapere su...
Torna al sommario del modulo

Nozione 33

Settimo principio del GDPR: responsabilità

competenza target

Scoprite cos'è il principio di accountability del GDPR.

Principio 7 - Responsabilità

Le organizzazioni possono affermare di seguire tutte le norme e i regolamenti senza farlo realmente. Per garantire che ciò non accada, il GDPR include un principio di responsabilità. In parole povere, responsabilità significa essere in grado di dimostrare che.

La responsabilità non è "un esercizio da spuntare". In relazione alla protezione dei dati personali, questo principio si riferisce alla responsabilità delle persone nelle organizzazioni di rispettare le norme del GDRP dimostrando la conformità.

Le misure di responsabilità includono (ma non si limitano a):

  • Un'adeguata documentazione dei dati personali raccolti e trattati;
  • la rendicontazione delle finalità e della durata del trattamento dei dati;
  • documentazione adeguata delle procedure e dei processi relativi alla risposta a una violazione dei dati;
  • Adeguata documentazione sulla creazione di sistemi informativi;
  • (se richiesto) L'esistenza di un ""responsabile del trattamento dei dati"" o di un ""responsabile della protezione dei dati"" che sia coinvolto nella pianificazione e nel funzionamento delle misure di protezione dei dati dell'organizzazione.

Qual è il ruolo del "responsabile del trattamento" o del "responsabile della protezione dei dati"?

Alcune organizzazioni sono tenute a nominare un "responsabile del trattamento dei dati". Il ""responsabile del trattamento"" o ""responsabile della protezione dei dati"" è la persona che in un'organizzazione decide perché e come trattare i dati personali. È responsabile della definizione di protocolli appropriati e della continua verifica, valutazione e rendicontazione dell'approccio dell'organizzazione alla protezione dei dati. È anche la persona che risponde in caso di violazione della protezione dei dati.

Per illustrare questo aspetto, ricordate l'esempio di cui alla nozione 28 (limitazione delle finalità) sulla banca che vuole inviarvi informazioni su nuovi prodotti (bancari). Immaginate che in questo caso la banca voglia utilizzare i vostri dati personali per altri scopi. Per garantire la liceità e la responsabilità, la banca deve verificare se questa nuova finalità dei dati è compatibile con l'articolo 6 (4) del GDRP (principio di responsabilità).

Una volta effettuata questa valutazione, si dovrebbe stabilire che la nuova finalità è compatibile con la finalità originaria per la quale i dati personali sono stati raccolti. Di conseguenza, l'organizzazione deve redigere o conservare un verbale della "valutazione di compatibilità". In questa relazione, l'organizzazione deve spiegare le ragioni della decisione e indicare quali ragionevoli salvaguardie ha messo in atto.

Fino a questo punto, abbiamo una panoramica dei 7 principi del Regolamento generale sulla protezione dei dati (GDPR), che costituiscono il nucleo delle migliori pratiche nel trattamento dei dati. Essi costituiscono la base per tutte le attività di trattamento e le pratiche aziendali, dalla fase di progettazione all'intero ciclo di vita del trattamento dei dati.

Si veda anche l'articolo 6 (4) del DGRP: https://gdpr-info.eu/art-6-gdpr/